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Abstract 



The use of a card in a terminal results in an electronic receipt being generated based on the data stored in 
the chip of the card. The data is used in a security module built into the terminal and this controls the 
transaction 
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(g) Verfahren zur Sicherung der Dateniibertragung im elektronischen Zahlungsverkehr 

@ Die Erfindung bezieht sich auf Verfahren zur Sicherung 
der Datenubertragung im elektronischen Zahlungsverkehr 
mittels eines mobilen Datentragers, insbesondere einer 
Chipkarte, an Dienstanbieterendgeraten, die nicht dauerhaft 
mit einem Abrechnungs-/Kontofuhrungssystem verbunden 
sind, wobei die Anwendung der mobilen Datentrager elek- 
tronische Belege erzeugt, dadurch gekennzeichnet, da6 

- ein Exemplar des elektronischen Beleges auf dem mobilen 
Datentrager gespeichert wird, 

- und dieser Beleg bei mindestens einer weiteren Anwen- 
dung des mobilen Datentragers an ein weiteres Endgerat zur 
Weiterleitung an das Abrechnungs-/Kontofuhrungssystem 
ubergeben wird. 
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Die folgenden Angaben sind den vom Anmelder eingereiehten Unterlagen entnommen 
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Die Erfmdung bezieht sich l^^erfahren zur Daten- 
ubertragung im elektronischen Zahlungsverkehr. 

Im elektronischen Zahlungsverkehr weist sich ein 5 
Kaufer durch einen mobiien Datentrager aus, z. B. eine 
Chipkarte. Das Unternehmen, welches die bargeldlose 
Dienstleistung anbietet und ggf. die Datentrager zur 
VerfQgung stellt, wird im folgenden als Herausgeber 
bezeichnet Das Rechensystem des Herausgebers ver- 10 
anlaBt die Banktransaktionen, welche mit dem bargeld- 
losen Bezahlen verbunden sind. Diese Rechensystem 
wird im folgenden als Abrechnungssystem oder Konto- 
fuhrungssystem bezeichnet. 

In der Regel ist ein Kassen terminal (Dienstanbiete- 15 
rendgerat) an das Abrechnungssystem angeschlossen, 
z. B. liber eine Telefonleitung. Wird ein Vorgang liber 
eine geschaltete Leitung abgewickelt, spricht man von 
Online- Verarbeitung, sonst von Offline-Verarbeitung. 

Ober eine Online-Verbindung zum Abrechnungssy- 20 
stem konnen gestohlene oder verlorengegangene Da- 
tentrager von der Weiterverwendung ausgeschlossen 
werden, indem gegen eine Sperrliste gepriift wird Auch 
fur die Abwicklung der Buchungen ist die sofortige 
Obertragung der Buchungssatze an das Abrechnungs- 25 
system am sicherstea Datensatze konnen so nicht verlo- 
ren gehen. 

Wegen der Leitungskosten ist Online-Prufung jedes 
einzelnen Datentragers jedoch nicht wirtschaftlich. Da- 
her werden Datentrager nur sporadisch online gepriift 30 
und Buchungssitze gesammelt. Diese elektronischen 
Belege werden dann in Paketen iibertragen, vorzugs- 
weise zu Zeiten niedriger Leitungskosten. 

Deshalb beinhaltet jedes Kassenterminal ein Sicher- 
heitsmodul, welches der Herausgeber zur Verfiigung 35 
stellt Dieses Sicherheitsmodul pruft die Echtheit der 
Datentrager und speichert die Buchungssatze in siche- 
rer Weise. Es sind verschiedene Sicherheitsverfahren 
bekannt Zum Teil beruhen die Verfahren auf Krypto- 
graphie, wobei die benotigten SchlGssel in den Sicher- 40 
heitsmodulen und mobiien Datentragern (z. B. Chipkar- 
ten) gegen Auslesen geschiitzt sind Die Sicherheitsmo- 
dule (evtl. auch die Datentrager selbst) erzeugen elek- 
tronische Unterschriften fiir die Datensatze, welche zur 
Abwicklung der Banktransaktionen iibermittelt werden, 45 
Dadurch wird verhindert, daB Nachrichten unbemerkt 
manipuliert werden konnen. 

Entsprechende Verfahren sind aus dem ec-Cash-Sy- 
stem und anderen Systemen bekannt. 

Einige Terminals besitzen u. U. gar keine Moglichkeit, 50 
jederzeit Online- Verbindungen herzustellen. Dies gilt 
insbesondere fur mobile Terminals in Verkaufsfahrzeu- 
gen. Eine naheliegende Losung ist, auch hier die Bu- 
chungen im Sicherheitsmodul zu sammeln. Um die elek- 
tronischen Belege an das Abrechnungssystem zu uber- 55 
tragen, wird der Sicherheitsmodul von Zeit zu Zeit an 
ein Obertragungsgerat angeschlossen. Die Akzeptanz- 
stelle (Dienstanbieter) ist gezwungen dies zu tun, um das 
Geld fur die verkauften Waren zu erhalten. 

Selbst wenn ein moglicher Angreifer die mobiien Da- eo 
tentrager und Sicherheitsmodule technisch nicht veran- 
dem kann, ist betriigerischer MiBbrauch unter Umstan- 
den trotzdem moglich. Namlich dann, wenn verhindert 
wird, daB gespeicherte Nachrichten aus dem Sicher- 
heitsmodul zum Abrechnungssystem ubertragen wer- 65 
den. 

Fiir Bezahlsysteme auf Basis von Chipkarten werden 
unter anderem die folgenden beiden Bezahlarten disku- 




tiert: 

— KreditorischVcrdrse: Der Betrag wird vom Kon- 
to des Kaufers abgebucht. Um Bezahlung zu si- 
chern, kann ein Kreditrahmen im Datentrager ge- 
speichert sein, welcher um den Kaufbetrag vermin- 
dert wird 

— Vorausbezahlte Borse (Prepaid-Borse): Ein 
Geldbetrag wird im voraus an den Herausgeber 
gezahlt und auf der Karte gespeichert. 

Beide Verfahren zeigen in gewissen Situationen Vor- 
teile auf. Der Inhaber des Datentragers will meist sehr 
groBe Geldbetrage nicht im voraus bezahlen. GroBere 
Geschafte wickelt er deshaib mittels einer kreditori- 
schen Borse ab. Fiir die Erfindung ist nicht von Belang, 
ob der Wert der elektronischen Borse einem eingezahl- 
ten Betrag oder einem Kreditrahmen (Oberziehungs- 
kredit) entspricht. Bezahlung aus der kreditorischen 
Borse entspricht der Ausstellung eines Schecks, den die 
Akzeptanzstelle einlost. Durch die Aktualisierung des 
gespeicherten Betrags wird verhindert, daB der Inhaber 
sein Konto oder einen vorgegebenen Kreditrahmen 
iiberzieht 

Da Transaktionen uber (Bank-)Konten mitgefiihrt 
werden, verliert der Inhaber Geld aus kreditorischen 
Borsen nicht bei Verlust oder Defekt des mobiien Da- 
tentragers. 

Die Kosten fur die Banktransaktion, welche mit dem 
Bezahlen aus der kreditorischen Bdrse verbunden sind, 
lassen sich fiir kleine Geldbetrage jedoch nicht rechtfer- 
tigen. Hier bietet es sich an, Betrage aus KJeingeldbor- 
sen in den Sicherheitsmodul der Kassenterminals ein- 
fach aufzusummieren und von Zeit zu Zeit den Gesamt- 
betrag zu iibermitteln, Bei Verlust oder Defekt kann der 
Inhalt der Klelngeidborse nicht ersetzt werden, da ja 
gerade die Verwaltung der notwendigen Information 
eingespart wird Bezahlung aus der Klelngeidborse 
kann daher am ehesten mit dem Bezahlen durch Bargeld 
verglichen werden. Die Herkunft des Geldes ist nicht 
mehr feststellbar und mit dem Verlust des mobiien Da- 
tentragers ist auch das Geld verloren, genauso wie bei 
dem Verlust eines Portemonnaies. 

Umbuchungen von der kreditorischen Borse in die 
Kleingeldborse am Handlerterminal sind aus verschie- 
denen Grunden wunschenswert Die entsprechende 
Umbuchung kann mit Hilfe des Sicherheitsmodul vor 
Manipuiationen geschiitzt werden. Der elektronische 
Umbuchungsbeleg wird einfach mit den Abrechnungen 
der Akzeptanzstelle durch das Sicherheitsmodul einge- 
reicht 

Verfahren zur Umbuchung zwischen verschiedenen 
Borsen in Chipkarten sind aus DE 42 43 851 bekannt. 

Im Vergleich mit Bankgeschaften, die durch Papier- 
belege ausgefiihrt werden, entspricht diese Umbuchung 
einer Barabhebung, Hier wird deutiich, daB der Beleg 
fiir den Herausgeber sehr wichtig ist. Denn trifft der 
Beleg nicht beim Herausgeber ein, verliert der Heraus- 
geber das umgebuchte Geld 

Wird die Umbuchung online durchgefiihrt, besieht 
keine Gefahr von MiBbrauch. Wird die Buchung aber 
offline durchgefiihrt, kann der Betreiber des Terminals 
den Eingang des Belegs im Abrechnungssystem verhin- 
dern. Er schlieBt einfach das Terminal nicht an die Ober- 
tragungsleitung an. 

Ein Angreifer (Betriiger) kann auf folgende Weise 
vorgehen. Er verschafft sich ein Terminal mit Sicher- 
heitsmodul fiir Offline-Betrieb und einen oder mehrere 
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mobile Datentrager. Der Angrei fjJ^ n an diese Cera- 
te durch Diebstahl oder als TeilH|||ibr an den betref- 
fenden Diensten gelangen. Der J^^^iitr veranlaBt mit- 
tels seines Sicherheitsmoduls die Umbuchung in die 
Kleingeldborse. Er verhindert, daB der elektronische 5 
Beleg an das Abrechnungssystem weitergeleitet wird. 
Da der Ursprung von Betragen aus Kleingeldborsen 
nicht kontrolliert wird, kann der Angreifer die Klein- 
geldborse leerraumen. Der Datentrager wird als verlo- 
ren gemeldet, so daB der Herausgeber dem Angreifer 10 
den Betrag erstattet, welcher urspriinglich gespeichert 
war. 

Aufgabe der Erfindung ist es» den Eingang von elek- 
tronischen Belegen sicherzustellen (bzw. die Verlust- 
wahrscheinlichkeit des Belegs zu minimieren) und so 15 
Betrug zu verhindern. 

Genereil sind diese Prinzipien geeignet, fur beliebige 
Typen von Belegen groBere Sicherheit gegen Verlust zu 
schaffen. Dabei ist unerheblich, ob der Verlust durch 
Defekt, Diebstahl oder durch Betrug entsteht Ebenso 20 
unerheblich ist, ob ein Betrugsversuch auf anderen Prin- 
zipien als den beschriebenen beruht 

Die Erfindung reduziert die Moglichkeiten des Verlu- 
stes von Belegen und Betrug durch herbeigefuhrten 
Verlust mittels folgender GegenmaBnahmen: 25 

a) Beschrankung der Umbuchungen: Die Anzahl 
und/oder Hohe der Buchungen von der kreditori- 
schen Borse in die Kleingeldborse wird beschrankt 
Dadurch wird der Schaden limitiert Die Beschran- 30 
kung und die Anzahl bzw. Hohe der Buchungen, 
welche bereits vorgenommen wurden, wird im Da- 
tentrager gespeichert. 

b) Speicherung von Buchungen im Datentrager: 
Elektronische Belege uber Umbuchungen und an- 35 
dere Transaktionen aus der kreditorischen Borse 
werden zusatzlich im Datentrager selbst abgelegt. 
Damit erreichen die Belege das Abrechnungssy- 
stem, wenn der Inhaber die Karte nachladt. 

e) Obertragung der Belege durch Online-Termi- 40 
nals: Gelangt der Datentrager wahrend eines Be- 
zahlvorgangs an ein Online-Terminal, wird der Be- 
leg direkt ubertragen. (Dies setzt Speicherung nach 
b) voraus.) Nach der Obertragung wird der Beleg 
aus dem Datentrager entfernt, bzw. als ubertragen 45 
gekennzeichnet 

d) Obertragung durch Offline-Terminals: Bei der 
Benutzung des Datentragers an einem weiteren Of- 
fline-Terminals wird der Beleg uber die Umbu- 
chung ins Sicherheitsmodul ubertragen. Der Beleg 50 
gelangt zum Abrechnungssystem bei der normalen 
Obertragung der Einnahmen, Dieser Obertra- 
gungsweg wird an mehreren Offline-Terminals ver- 
sucht Spatestens nach einer Online-Obertragung 
werden keine weiteren Versuche mehr unternom- 55 
men. Voraussetzung fur das Verfahren ist eine ein- 
deutige Kennung des Belegs, so daB mehrfaches 
Eintreffen toleriert werden kann. 

Um Leitungskosten und Verarbeitungskosten durch eo 
mehrfaches Obermitteln des Belegs einzuschranken, 
muB die Zahl der Speicherungen in Terminals be- 
schrankt werden. Ob der Beleg tatsachlich in ein be- 
stimmtes Terminal ubertragen wird, wird deshalb mit 
Hilfe einer Regel bestimmt Diese Regel kann einen 65 
Zufallszahlengenerator enthalten. Der Angreifer ist 
dann nie sicher, daB er die Obertragung (in seinem eige- 
nen Terminal) abfangen kann. 
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Der Herausgeber kjfllf^ie Weiterleitung von Bele- 
gen vergiiten und so J^^P Akzeptanzstellen attraktiv 
machen. Wirksamer sii^^doch Methoden, welche die 
Erlangung des iegalen wirtschaftlichen Nutzens an die 
Obertragung von Belegen gekoppelt wird, deren Unter- 
driickung zu Betrug genutzt werden kann. D.h. Akzep- 
tanzstellen werden die Obertragung aller Belege aus 
dem Sicherheitsmodul dann vornehmen, wenn ihr wirt- 
schaftlicher Nutzen durch legale Geschafte den mogli- 
chen betriigerischen Gewinn ubersteigt. Man kann auch 
davon ausgehen, daB das Verhalten solider Akzeptanz- 
stellen sich in der Zukunft fortsetzt. Darauf beruhen 
weitere Verfahren. 

e) Reihenfolge der Obertragung aus den Sicher- 
heitsmodulen: Das Sicherheitsmodul ubertragt zu- 
erst Daten uber Umbuchungen. Versucht eine be- 
triigerische Akzeptanzstelle die Obertragung der 
Umbuchungsbelege zu verhindern, muB sie auf Ein- 
nahmen durch Obertragung ihrer Verkaufsbelege 
verzichten. 

f) Bevorzugung von Terminals, in welchen hohe 
Betrage gespeichert sind: Eine Akzeptanzstelle hat 
ein besonders groBes Interesse Buchungen aus den 
Sicherheitsmodulen zu ubertragen, wenn bereits 
hohe Betrage aufgelaufen sind Eine Obertragung 
in diese Sicherheitsmodule fiihrt mit groBerer Si- 
cherheit zu einer Obertragung an das Abrech- 
nungssystem. 

g) Bevorzugung von Terminals mit bisher haufiger 
Obertragung: Es kann hier angenommen werden, 
daB mit groBer Wahrscheinlichkeit der Beleg wei- 
tergeleitet wird. 

h) Blockierung der Umbuchung durch das Sicher- 
heitsmodul: Das Terminal bzw. das Sicherheitsmo- 
dul blockiert weitere Umbuchung, wenn MiB- 
brauch vermutet werden kann. Dies kann ange- 
nommen werden, wenn 

— eine vorgebene Anzahl von Umbuchungen, bzw. 
eine Summe uberschritten wird, 

— Summen, die durch Umbuchungen bewegt wer- 
den einen gewissen Anteil an anderen Umsatzen 
ubersteigen. 

Durch Obertragung der Belege kann das Terminal 
wieder entblockiert werden. Die Blockierung kann auf 
die Funktionen beschrankt werden, welche zu Betrug 
genutzt werden konnen. Die Blockierung kann auch 
dann zurQckgenommen werden, wenn wahrend der 
Weiterbenutzung entsprechende Belege gespeichert 
wurden, welche die Betrugsvermutung entkraften. 

Dieses Verfahren limitiert zumindest die Hohe des 
Betrugs. 

i) Aufhebung von Blockierungen: Die Blockierung 
eines Datentragers kann zuruckgenommen wer- 
den, wenn sie durch Belege begrundet war, die in- 
zwischen an das Abrechnungssystem ubertragen 
wurden. 

Naturlich mussen auch bei der Obertragung von Um- 
buchungsbelegen Leitungskosten beriicksichtigt wer- 
den. Obertragungen des Umbuchungsbelegs in Sicher- 
heitsmodule von Offline-Terminals, wie in b) beschrie- 
ben, ist daher nicht bei jeder Buchung wunschenswert. 
Wenn der Beleg das Abrechnungssystem bereits er- 
reicht hat, sollte weiteres Versenden eingestellt werden. 
Eine Methode beschreibt Verfahren j). 



DE 196 3- 

5 

j) Wiedererkennung von J|tt|ntrager und Sicher- 
heitsmodul: Im Datentra^HBd vermerkt, an wel- 
che Sicherheitsmodule Bel^P^ubertragen wurden. 
Der Karteninhaber sucht in der Regel gewisse Ak- 
zeptanzstellen haufig auf (z. B. den Laden an der 5 
Ecke). Wenn der Beleg nicht mehr im Sicherheits- 
modul abgelegt ist. wurde der Beleg an das Abrech- 
nungssystem abgeschickt Im Datentrager kann der 
entsprechende Beleg dann geloscht, bzw. als uber- 
tragen markiert werden. 10 
k) Wiedererkennung sicherer Obertrager: Falls 
Verfahren i) angewendet wird, kann leicht vermu- 
tet werden, daB das betreffende Terminal zuverlas- 
sig Belege weiterleitet und unnotige Verbreitung 
des Beleges durch Verfahren i) mit hoher Wahr- 15 
scheinlichkeit beschrankt wird. Der Datentrager 
selbst kann eine Liste dieser Terminals verwalten 
und diese Information zukiinftig berucksichtigen. 

Die vorstehenden Verfahren sind so beschrieben, da3 20 
in den Datentragern nur Belege gespeichert sind, wel- 
che bei Anwendung dieses Datentragers erzeugt wur- 
den. Dies ist jedoch keineswegs notwendig. Bei Anwen- 
dung eines Datentragers kann das Terminal Belege, die 
durch Anwendung anderer Datentrager entstanden 25 
sind, in Datentrager speichern und so die Weiterieitung 
veranlassen, Der Datentrager verteilt diesen Beleg dann 
nach den gleichen Prinzipien weiter, wie er dies fiir seine 
eigenen Belege tut. Obertragungsversuche konnen und 
soUten in sinnvoller Weise durch die Verfahren be- 30 
schrSnkt werden, die oben erlautert wurden. 

Besonders wichtig fur die praktische Anwendung der 
Verfahren ist Ausgewogenheit zwischen Sicherheit und 
Kosten, in diesem Zusammenhang die Obertragungsko- 
sten. Zu haufige Obertragungen treiben die Kosten in 35 
die Hohe und konnen sogar den Vorteil von Kleingeld- 
bSrsen, namlich die Einsparung von Leitungskosten, 
aufheben. Zu wenige Obertragungen, im Extremfall gar 
keine, erlauben Betrug. Falls die Regel zu starr festge- 
legt wird, kann ein Angreifer die Obertragung abfangen, 40 
indem er die betreffenden Anwendungen auf seinem 
Terminal ausfiihrt und dieses Gerat nicht zur Obertra- 
gung an das Abrechnungssystem anschlieSt. 

Wird die Speicherung in ein Terminal von Bedingun- 
gen abhangig gemacht, die der Angreifer nicht vorher- 45 
sehen kann, kann er das Eintreffen des Belegs im Ab- 
rechnungssystem nicht sicher verhindern. Um Unvor- 
hersagbarkeit zu reaiisieren, kann ein Zufallszahlenge- 
nerator verwendet werden. Zufallszahlengeneratoren 
sind aus der Literatur bekannt. 50 

Eine einfache Regel, die festlegt, ob ein Beleg ubertra- 
gen wird, kann so festgelegt werden: 

1) Verschiedene Bewertungskriterien kdnnen zur 
Berechnung einer Schranke s herangezogen wer- 55 
den, z. B. so daB 

— s mit der Anzahl bisheriger Speicherungen 

steigt, 

— s mit der Anzahl bisheriger Speicherungen in 
"sichere Terminals" steigt go 

— s mit der AnschluBhaufigkeit des Terminals 
sinkt, 

— s mit dem Buchgeldbetrag sinkt, welcher im Ter- 
minal gespeichert ist, 

— s mit der Obertragungssicherheit durch das Ter- 65 
mina] sinkt, 

— s mit der Hohe der vorzunehmenden Abbu- 
chung aus der Kleingeldbdrse sinkt 
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2) Mit dem Zu^^fchlengenerator wird eine Zahl r 
berechnet. Nu^^KI r>s, wird die Obertragung 
vorgenommen. ^^"^^^ 

Regeln nach diesen Kriterien bevorzugen Terminals, 
die mit groBer Wahrscheinlichkeit Weiterieitung an das 
Abrechnungssystem veranlassen. Andererseits sinkt die 
Wahrscheinlichkeit einer Speicherung mit der Zeit, so 
daB die Anzahl der Obertragungen schon durch die Re- 
gel limitiert wird. Der Teil der Bewertung, der durch 
bisherige Obertragungen bestimmt ist, kann im Daten- 
trager selbst abgelegt werden. Die Bewertung sei im 
Datenfeld w abgelegt. Der Herausgeber setzt w auf 
einen Initialwert. w wird nach jeder Speicherung inkre- 
mentiert, abhangig von einer Bewertung der erfolgten 
Obertragung. D.h. fails das Terminal als sicherer Ober- 
trager eingestuft wird, fallt die Erhohung starker aus, 

Patentanspriiche 

1. Verfahren zur Sicherung der Datenubertragung 
im elektronischen Zahlungsverkehr mittels eines 
mobilen Datentragers, insbesondere einer Chipkar- 
te, an Dienstanbieterendgeraten, die nicht dauer- 
haft mit einem Abrechnungs-ZKontofiihrungssy- 
stem verbunden sind, wobei die Anwendung der 
mobilen Datentrager elektronische Belege erzeugt, 
dadurch gekennzeichnet, daB 

— ein Exemplar des elektronischen Beleges 
auf dem mobilen Datentrager gespeichen 
wird, 

— und dieser Beleg bei mindestens einer wei- 
teren Anwendung des mobilen Datentragers 
an ein weiteres Endgerat zur Weiterieitung an 
das Abrechnungs-ZKontofuhrungssystem 
iibergeben wird 

2. Verfahren nach Patentanspruch 1 dadurch ge- 
kennzeichnet, daB der elektronische Beleg jeweils 
an ein Endgerat iibergeben wird, das mit dem Ab- 
rechnungs-ZKontofuhrungssystem verbunden ist 
Oder mit diesem eine Verbindung unmittelbar her- 
stellen kann, und der Beleg unverzuglich an das 
Abrechnungs-ZKontofiihrungssystem weitergelei- 
tet wird. 

3. Verfahren nach Patentanspruch 1 dadurch ge- 
kennzeichnet, daB der elektronische Beleg jeweils 
an ein Endgerat ubergeben wird, das nicht dauer- 
haft mit dem Abrechnungs-ZKontofuhrungssystem 
verbunden ist, und bei wiederholter Anwendung 
des mobilen Datentragers in demseiben Endgerat 
festgestellt wird, ob der Beleg an das Abrechnungs- 
ZKontofuhrungssystem ubertragen wurde, und bei 
erfolgter Obertragung an das Abrechnungs-ZKon- 
tofuhrungssystem weitere Obertragungen vom 
mobilen Datentrager in Endgerate unterbleiben. 

4. Verfahren nach einem der vorstehenden Patent- 
anspruche dadurch gekennzeichnet, daB zur Redu- 
zierung von Obertragungskosten durch eine vorbe- 
stimmte Regel oder durch eine Regel, welche einen 
Zufaliszahlengenerator oder eine andere Methode 
zur Generierung zufalliger Werte verwendet, be- 
stimmt wird, ob der elektronische Beleg zur Wei- 
terieitung an das Abrechnungs-ZKontofiihrungssy- 
stem in das Endgerat ubertragen wird, mit dem der 
Datentrager aktuell angewendet wird. 

5. Verfahren nach Patentanspruch 4 dadurch ge- 
kennzeichnet, daB der elektronische Beleg durch 
die Regel bevorzugt an solche Endgerate Qbertra- 
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gen wird, fur die hohe WahafJ^inlichkeit fur die 
Obertragung an das Ai#j^'"^ 
rungssystem abgeleitet werdefecann. 

6. Verfahren nach Patentanspruch 5 dadurch ge- 
kennzeichnet, daO der elektronische Beleg durch 5 
die Regel bevorzugt an solche Endgerate iibertra- 
gen wind, in denen bereits Belege gespeichert sind, 
deren Obertragung an das AbrechnungsVKonto- 
fiihrungssystem fur den Betreiber des Endgerats 
einen hohen wirtschaftiichen Nutzen erbringt. 10 

7. Verfahren nach Patentanspruch 5 dadurch ge- 
kennzeichnet, daB der elektronische Beleg durch 
die Regel bevorzugt an Endgerate mit hoher An- 
schluBhaufigkeit an das Abrechnungs-ZKontofuh- 
rungssystem ubertragen wird. 15 

8. Verfahren nach Patentanspruch 5 dadurch ge- 
kennzeichnet, daB 

— im mobilen Datentrager Informationen 
uber erfoigte Weiterleitungen elektronischer 
Belege durch Endgerate an das Abrechnungs- 20 
/Kontofiihrungssystem gespeichert werden 
und 

— durch die Regel solche Endgerate bevor- 
zugt werden, die bisher erkennbar Belege an 
das Abrechnungs-ZKontofuhrungssystem wei- 25 
tergeleitet haben. 

9. Verfahren nach Patentanspruch 4 dadurch ge- 
kennzeichnet, dafi durch die Regel die Anzahl vor- 
genommener Speicherungen in Endgerate beriick- 
sichtigt werden, so daB die Wahrscheinlichkeit der 30 
Speicherung in weitere Endgerate mit der Zeit 
sinkt. 

10. Verfahren gemaB Oberbegriff von Anspruch 1 
dadurch gekennzeichnet, daB bei einem Endgerat, 
welches nicht dauerhaft an das Abrechnungs-ZKon- 35 
tofuhrungssystem angeschlossen ist, bei einer 
Obertragung von elektronischen Belegen vor der 
Obertragung von Belegen, welche fur den Betrei- 
ber des Endgerates einen wirtschaftiichen Nutzen 
erbringen, solche elektronischen Belege an das Ab- 40 
rechnungs-ZKontofuhrungssystem ubertragen wer- 
den, deren Nichtweiterleitung einen Betrug errndg- 
licht oder-die aus anderen Grunden zur Weiterlei- 
tung an das Abrechnungs-ZKontofiihrungssystem 

in das Endgerat eingespeichert wurden. 45 

11. Verfahren gemaB Oberbegriff von Anspruch 1 
dadurch gekennzeichnet, daB ein Endgerat elektro- 
nische Belege unverzuglich an das Abrechnungs- 
ZKontofuhrungssystem ubertrSgt oder eine weitere 
Anwendung mit mobilen Datentragern sperrt, bis 50 
eine Obertragung vorgenommen wurde, wenn eine 
vorgebbare Bewertung 

— der elektronischen Belege, deren Nicht- 
ubertragung Betrug ermoglicht, insbesondere 
entsprechend Anzahl oder einem diesem Bele- 55 
gen entsprechenden Buchgeldbetrag undZoder 

— der elektronischen Belege, deren Obertra- 
gung einen wirtschaftiichen Nutzen fQr den 
Betreiber des Endgerates erbringen, insbeson- 
dere entsprechend Anzahl oder einem diesem eo 
Belegen entsprechenden Buchgeldbetrag 

nicht mehr erfiillt ist 

12. Verfahren nach Patentanspruch 11 dadurch ge- 
kennzeichnet, daB die Sperrung sich nur auf solche 
Anwendungen mit mobilen Datentragern bezieht, 65 
die einen Betrug ermoglichen. 

13. Verfahren nach Patentanspruchen 11 und 12 
dadurch gekennzeichnet, daB die Sperrung aufge- 
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hoben wird, falls ^^fergebbare Bewertung durch 
hohere gespeichei^^^'lchgeldbetrage aus nicht ge- 
sperrten Anwendun|?n wieder erfiillt ist. 

14. Verfahren gemaB Oberbegriff von Anspruch 1 
dadurch gekennzeichnet, daB ein Datentrager fiir 
weitere Anwendungen gesperrt wird, bis entspre- 
chende Obertragungen an das Abrechnungs-ZKon- 
tofuhrungssystem vorgenommen wurde, wenn eine 
vorgebbare Bewertung bisher vorgenommener 
Anwendungen, welche zu Betrug genutzt werden 
konnen, nicht mehr erfiillt ist, insbesondere Bewer- 
tungen entsprechend Anzahl oder einem diesem 
Anwendungen entsprechenden Buchgeldbetrag. 

15. Verfahren nach Patentanspruch 14 dadurch ge- 
kennzeichnet, daB die Sperrung sich nur auf An- 
wendungen bezieht, welche zu Betrug genutzt wer- 
den konnen. 

16. Verfahren nach Patentanspruchen 15 und 3 da- 
durch gekennzeichnet, daB die Bewertung aktuali- 
siert wird, indem erkannte Obenragungen an das 
Abrechnungs-ZKontofiihrungssystem berucksich- 
tigt werden, und eine Sperrung des Datentragers 
dadurch aufgehoben wird. 

17. Verfahren nach vorstehenden Anspriichen da- 
durch gekennzeichnet, daB gespeicherte, elektroni- 
sche Belege aus Endgeraten, welche nicht dauer- 
haft an das Abrechnungs-ZKontofiihrungssystem 
angeschlossen sind, bei der Anwendung transporta- 
bier Datentrager in diese zur Weiterleitung an das 
Abrechnungs-ZKontofiihrungssystem gespeichert 
werden, wobei der Beleg nicht mit dem Datentra- 
ger oder seinem Inhaber in Zusammenhang stehen 
mu6. 
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